Socks5Systemz

Socks5Systemzは、プロキシボットネットを構成するマルウェアです。
このマルウェアそのものは新しいものではなく、2016年にはすでに活動が観測されていたものなのですが、ここのところ、その活動が活発化していることが確認されています。
どんなものなのでしょうか。

• 被害者のパソコンは仕事する
  被害者のパソコンはサービスを動作させる機器の一つとして利用されます。
  プロキシサービスというものがあります。
  接続先の接続元ネットワークによる制限を回避する目的や、直接の接続元を変更することで自身の通信を通信先に対して匿名化することを目的としたプロキシサービスというものがあります。
  こういったもののサービス用ノードとして、被害者のパソコンは動作してしまいます。

   

• 脅威アクターは儲かる
  脅威アクターは被害者のパソコンを多く集め、それを束ねてプロキシサービスを構成します。
  作ったプロキシサービスはサブスクライブの形式で販売されます。
  1ドルから4,000ドルの範囲でいろいろな形式で利用することができるサービスになっています。
  支払いは暗号資産で実施可能ですので、支払い時にも足が付きにくい仕組みを構成しています。

   

• 入口はあちこちに
  この脅威は、入口が特定のもののみではありません。
  フィッシング、エクスプロイトキット、マルバタイジング、P2Pネットワークからダウンロードされたトロイの木馬化された実行可能ファイルなどを介して拡散されます。
  実際の入口のマルウェアバイナリは多くの種類が実装されていることが考えられますが、例えばその一つは、Windows向けの300KBの32ビットDLLでした。
  ファイル名は「previewer.exe」です。
  このファイルを実行すると、プロキシボットをホストのメモリに挿入し、「ContentDWSvc」と呼ばれるWindowsサービスを介してその永続性を確立します。

   

• C2から制御
  このボットはプロキシとして動作します。
  その動作を制御する機構が実装されています。
  制御はC2から実施されるのですが、そのC2のドメインはドメイン生成アルゴリズムで生成されます。
  そしてその生成したドメイン文字列を、ハードコードされたDNSサーバのリストにあるサーバ群に対して要求することでC2の名前解決を実行します。

   

• プロキシサービスは利用者だけに
  被害者のパソコンで実行されるサービスは、プロキシのサービス利用者のみに利用されます。
  アクセス制御機構として、認証用のユーザ名とパスワードのほかに、許可されたIPからの通信しか受け付けない機構が実装されています。

破壊や脅迫などの目的の場合、脅威に感染したことは被害者は簡単に気が付くことができそうです。
しかし、この場合のような脅威では、なかなか気が付かないかもしれません。
気が付かないようにできたほうが脅威アクターは儲かるわけですので、そのための取り組みが仕掛けられます。

確認されている例では、このマルウェアの被害にあったパソコンは1074/TCPを開いた状態になります。
この脅威のサービス者となってしまっているパソコンは、現在約10,000台あります。
わたしのパソコンは大丈夫でしょうか。確認してみようと思います。

参考記事（外部リンク）：Unveiling Socks5Systemz: The Rise of a New Proxy Service via
PrivateLoader and Amadey
www.bitsight.com/blog/unveiling-socks5systemz-rise-new-proxy-service-privateloader-and-amadey